锐捷安全专项认证课程-使用Router与Switch安全网络

1、运用Router与Switch平安网络学习目的经过本章的学习，希望您可以：平安化Router与Switch平安管理Router与Switch运用Router加强网络平安性运用Switch加强网络平安性本章内容平安化Router与Switch平安管理Router与Switch运用Router加强网络平安性运用Switch加强网络平安性课程议题交换机/路由器的管理方式路由器的管理方式带外管理经过带外对路由器进展管理(PC 与路由器直接相连)带内管理经过Telnet 对路由器进展远程管理经过Web 对路由器进展远程管理经过SNMP 任务站对路由器进展远程管理Console口及配置线缆RJ45-DB9

2、转换器反转线缆DB9-RJ45线缆Console口(RJ45)AUX口衔接拨号网络 带外路由器配置连线利用配置线将主机的COM口和路由器的console口相连翻开超级终端从开场-程序-附件-通讯-超级终端翻开超级终端程序配置超级终端为衔接命名选择适宜的COM口配置正确的参数TELNET管理路由器在主机DOS命令行下输入： telnet ip address路由器管理IPTELNET管理路由器续 输入telnet密码和特权密码即可进入到路由器的配置界面基于WEB的管理 在web页面中输入路由器的管理IP可以进入路由器的web管理页面基于WEB的管理 在web页面下对路由器进展管理基于SNMP协议

3、的管理课程议题路由器的根本配置路由器配置方式配置模式提示符进入命令用户模式Router特权模式Router#enable全局模式Router(config)# configure terminal线路配置模式Router(config-line)#vty 0 4路由配置模式Router(config-router)#router rip接口配置模式Router(config-if)#Interface f 1/1课程议题交换机的根本配置交换机配置命令方式EXEC方式：用户方式switch交换机信息的查看，简单测试命令特权方式switch# 查看、管理交换机配置信息，测试、调试配置方式：全局配置

4、方式switch(config)# 配置交换机的整体参数接口配置方式switch(config-if)#配置交换机的接口参数交换机配置命令方式进入全局配置方式Switch#configure terminalSwitch(config)#exitSwitch#进入接口配置方式Switch(config)#interface fastethernet 0/1Switch(config-if)#exitSwitch(config)#从子方式下直接前往特权方式Switch(config-if)#endSwitch#命令行其他功能获得协助switch#? switch#show ?命令简写全写：swi

5、tch# configure terminal简写：Switch# config运用历史命令Switch# (向上键)Switch# (向下键)课程议题平安化Router与Switch传统网络设备的平安问题Router与Switch的平安问题运转多种效力允许对一切流量进展转发出厂默许配置禁用未运用的效力禁用DHCP中继效力no service dhcp Router(config)#限制DNS查询no ip domain-lookup Router(config)#制止DNS查询ip host name ip-address配置静态主机映射条目禁用未运用的效力续禁用ICMP不可达音讯防止DoS

6、攻击no ip unreachables Router(config-if)#禁用HTTP效力no ip server / no enable services web-serverRouter/Switch(config)#禁用ICMP掩码应对防止攻击者获得网络拓扑no ip mask-replyRouter(config-if)#禁用未运用的效力续禁用SNMP效力no snmp-server / no enable services snmp-agentRouter/Switch(config)#禁用IP源路由选择制止发送者控制报文的途径no ip source-routeRouter(c

7、onfig)#封锁未运用的接口shutdown Router(config-if)#禁用未运用的效力续禁用ARP Proxyno ip proxy-arpRouter(config-if)#课程议题平安管理Router与Switch控制Console与VTY线路访问line console 0line vty begin end Router(config)#进入Console或VTY线路exec-timeout minutes secondsRouter(config-line)#配置登录衔接超时login local配置密码认证或本地数据库用户认证password password配置密码

8、认证的密码配置VTY线路访问限制line vty begin endRouter(config)#进入VTY线路access-class acl-number inRouter(config-line)#配置访问限制service tcp-keepalives-in secondsRouter(config)#配置失效TCP衔接检测配置其它访问控制enable password | secret level level passwordRouter(config)#配置特权访问密码username username privilege level password passwordRouter

9、(config)#配置本地用户数据库banner motd bannerRouter(config)#配置标识谁是拥有者并有权运用未授权的访问是非法的用户的操作将被监控非法行为将被起诉运用进展SSH平安访问enable services ssh-serverSwitch(config)#启用SSHSecure ShellClient/Server对流量进展加密Telnet无加密支持RSA认证TCP 22SFTPip ssh version 1 | 2Switch(config)#配置SSH版本运用SNMP进展管理Simple Network Management ProtocolAgent&N

10、MSSNMP v1/v2/v3MIB 只读/读写/TrapUDP 161/162配置SNMP v1/v2snmp-server community string view viewname ro | rw acl-numberRouter(config)#配置团体名snmp-server host ip-address traps version 1 | 2 string notification-typeRouter(config)#配置NMSsnmp-server enable traps notification-typeRouter(config)#配置系统产生Trap音讯配置SNMP

11、 v3snmp-server group name v3 auth | noauth | priv read readview write writeview Router(config)#配置用户组snmp-server user username groupname v3 encrypted auth md5 | sha password priv des56 password Router(config)#配置用户snmp-server host ip-address trap version 3 auth | noauth | priv community-stringRouter(c

12、onfig)#配置NMS运用Syslog日志SyslogClient/Server日志音讯目的地ConsoleVTYLogging bufferLogging fileSyslog server日志平安级别 Syslog日志格式配置日志logging ip-addressRouter(config)#配置Syslog效力器logging trap levelRouter(config)#配置发送到Syslog效力器的日志级别service timestamps log | debug uptime | datetimeRouter(config)#配置日志时间戳配置日志续service seq

13、uence-numbersRouter(config)#配置在日志信息中添加序号logging buffered buffer-size | level Router(config)#配置将日志发送到日志缓冲区logging file flash:filename max-file-size levelRouter(config)#配置将日志记录到日志文件配置日志续show loggingRouter#显示日志配置参数、统计信息以及日志缓冲区中的信息clear loggingRouter#去除日志缓冲区中的信息logging onRouter(config)#启用日志平安网络管理最正确实际方式

14、运用平安的登录机制运用SSH，不运用Telnet运用SFTP或FTP，不运用TFTP运用HTTPS，不运用HTTP运用SNMPv3，不运用SNMP v1/v2c对一切的操作和时间进展详细的日志记录将一切设备的配置文件进展平安的、一致的管理课程议题运用Router加强网络平安性访问控制列表访问控制列表ACL的类型规范ACL，扩展ACL规范ACL仅对源地址信息进展过滤access-list 1 permit 55扩展ACL可对源地址、目的地址、源端口、目的端口、协议、IP优先级、ToS等进展过滤access-list 100 permit tcp 55 any eq 21ACL部署规范ACL：路由

15、信息过滤、发布、访问线路控制扩展ACL：报文过滤详细的语句放在前面，默许的deny any运用ACL进展Internet入口过滤Bogon地址过滤运用ACL进展Internet入口过滤续RFC2827过滤运用Router阻止Smurf和Fraggle攻击运用Router防止ICMP不可达DoS攻击ip icmp rate-limit unreachables millisecondsRouter(config)#ICMP不可达报文限速运用CAR减缓泛洪DoS攻击rate-limit input | output access-group number bps burst-normal burs

16、t-max conform-action transmit exceed-action dropRouter(config-if)#配置CAR (Committed Access Rate)运用ACL阻止DDoS攻击Trinoo/dittrich/misc/trinoo.analysis 运用ACL阻止DDoS攻击续Stacheldraht/dittrich/misc/stacheldraht.analysis 运用ACL阻止DDoS攻击续Trinity/xforce/alerts/id/advise59 运用ACL阻止特洛伊木马Netbus运用ACL阻止特洛伊木马续SubSeven运用ACL

17、阻止特洛伊木马续Back Orifice & Back Orifice 2K运用ACL阻止特洛伊木马续Hack-a-Tack特洛伊木马监听端口列表neohapsis/neolabs/neo-ports/neo-ports.htmlsimovits/nyheter9902.html配置路由协议平安-RIPv2配置RIP验证key chain name Router(config)#配置密钥链key key-id Router(config-keychain)#配置密钥IDkey-string keyRouter(config-keychian-key)#配置密钥配置路由协议平安-RIPv2续ip

18、 rip authentication mode text | md5 Router(config-if)#配置验证方式ip rip authentication key-chain nameRouter(config-if)#配置验证运用的密钥链配置路由协议平安-RIPv2续配置路由协议平安-OSPF配置OSPF验证area area-id authentication message-digest Router(config-router)#配置区域验证类型ip ospf authentication message-digest | null Router(config-if)#配置接口

19、验证类型ip ospf authentication-key keyRouter(config-if)#配置明文验证密钥ip ospf message-digest-key key-id md5 keyRouter(config-if)#配置MD5验证密钥配置路由协议平安-OSPF续课程议题运用Switch加强网络平安性PortFastSTP的缺陷收敛速度慢端口需求经过多个形状才干转发数据PortFast加快生成树收敛速度端口直接过渡到Forwarding形状在衔接终端系统的端口启用PortFast不要在交换机上行链路上运用PortFast当PortFast端口收到BPDU后，将丢弃PortF

20、ast形状，改为正常的STP操作防止环路配置PortFast启用PortFastspanning-tree portfast Switch(config-if)#默许情况下，封锁PortFast功能禁用PortFastspanning-tree portfast disableSwitch(config-if)#为一切端口启用PortFastspanning-tree portfast defaultSwitch(config)#配置此命令后，需求在Trunk端口明确禁用PortFastPortFast配置例如查看PortFast形状查看PortFast形状show spanning-tree

21、 interface interface Switch#查看PortFast形状例如STP平安特性BPDU GuardBPDU Guard当启用了PortFast特性的接口收到BPDU时，接口将进入“err-disable形状加强STP稳定性和平安性配置BPDU Guard全局启用BPDU Guardspanning-tree portfast bpduguard default Switch(config)#默许情况下，封锁BPDU Guard功能配置此命令后，一切启用了PortFast的端口都将启用BPDU Guard当端口收到BPDU报文后，进入“err-disabled形状基于端口启用

22、BPDU Guardspanning-tree bpduguard enable | disable Switch(config-if)#配置此命令后，只需端口收到BPDU报文后，就进入“err-disabled形状BPDU Guard配置例如查看BPDU Guard形状查看BPDU Guard形状show spanning-tree interface interface Switch#查看BPDU Guard形状例如STP平安特性BPDU FilterBPDU Filter启用BPDU Filter的端口将不向外发送BPDU报文防止终端系统接纳多余的BPDU报文配置BPDU Filter全

23、局启用BPDU Filterspanning-tree portfast bpdufilter default Switch(config)#默许情况下，封锁BPDU Filter功能配置此命令后，一切启用了PortFast的端口都将启用BPDU Filter当端口收到BPDU报文后，放弃BPDU Filter形状基于端口启用BPDU Filterspanning-tree bpdufilter enable | disable Switch(config-if)#配置此命令后，端口不但不发送BPDU报文，而且丢弃收到的BPDU报文BPDU Filter配置例如查看BPDU Filter形状查

24、看BPDU Filter形状show spanning-tree interface interface Switch#查看BPDU Filter形状例如MAC地址过滤mac access-list extended name | access-list-number Switch(config)#配置MAC访问控制列表 permit | deny any | host source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name Switch(config-ext-

25、macl)#配置访问规那么mac access-group name | access-list-number in | out Switch(config-if)#在接口运用MAC访问控制列表MAC地址过滤续维护端口维护端口的作用阻塞端口之间的通讯交换机本地特性维护端口的操作维护端口之间的通讯被阻塞广播、组播、单播维护端口之间通讯需求经过L3设备维护端口与非维护端口之间的通讯正常当聚合端口配置为维护端口，一切成员端口也被设为维护端口配置维护端口配置维护端口switchport protected Switch(config-if)#维护端口配置例如查看维护端口形状查看维护端口配置信息show

26、 interface switchport Switch#查看维护端口例如广播风暴控制配置风暴控制启用风暴控制storm-control unicast | multicast | broadcast Switch(config-if)#默许情况下，封锁风暴控制功能unicast表示限制未知目的MAC地址的单播帧multicast表示限制未知目的MAC地址的组播帧broadcast表示限制广播帧配置检测阈值storm-control unicast | multicast | broadcast level level | kbps | pps pps Switch(config-if)#风暴

27、控制配置例如查看风暴控制形状查看风暴控制配置信息show storm-control interface Switch#查看风暴控制例如系统维护系统维护可以识别的攻击目的IP地址不断变化的扫描浪费带宽资源对网络中不存在的IP发送大量报文耗费交换机CPU资源系统维护的作用防止扫描攻击维护交换机系统资源任务在物理端口配置系统维护启用系统维护system-guard enable Switch(config-if)#默许情况下，封锁系统维护功能配置IP扫描检测system-guard scan-dest-ip-attack-packets ppsSwitch(config-if)#默许情况下，pps

28、为10，即每秒10个不同目的IP地址的扫描配置对不存在IP发送大量报文的检测system-guard same-dest-ip-attack-packets ppsSwitch(config-if)#默许情况下，pps为20，即每秒20个发往不存在IP的攻击配置系统维护续配置隔离时间system-guard isolate-time seconds Switch(config-if)#默许情况下，对发动攻击的IP隔离120秒配置最大隔离数目system-guard detect-maxnum numberSwitch(config)#默许情况下，pps为10，即每秒10个不同目的IP地址的扫描

29、配置排除隔离地址system-guard exception-ip network/mask-lengthSwitch(config)#系统维护配置例如查看系统维护形状查看系统维护配置信息show system-guard interface interface Switch#查看系统维护正在监控的IP信息show system-guard detect-ip interface interface Switch#查看被隔离的IP地址show system-guard isolate-ip interface interface Switch#查看系统维护形状续查看被排除隔离的IP信息show

30、 system-guard exception-ip Switch#去除隔离形状clear system-guard interface interface Switch#默许情况下，被隔离IP只需到隔离时间到期后才会解除隔离形状查看系统维护形状例如端口平安任务在交换机二层端口上的一个平安特性端口平安的作用只允许特定的MAC地址接入到网络中限制交换机端口接入设备的数量任务机制平安端口将检查接纳帧的源MAC地址与端口的平安地址数假设源MAC地址在平安地址表中不存在，并且没有超越最大平安地址数，那么将其添加到平安地址表假设源MAC地址在平安地址表不存在，那么直接转发帧端口平安的限制配置端口平安的限

31、制平安端口必需是Access端口平安端口不能是聚合Aggregate Port配置端口平安启用端口平安switchport port-security Switch(config-if)#配置最大平安地址数switchport port-security maximum number Switch(config-if)#配置静态平安MAC地址switchport port-security mac-address mac-address Switch(config-if)#默许情况下，最大平安MAC地址数为128个配置端口平安续配置平安地址老化时间switchport port-securit

32、y aging time time | static Switch(config-if)#配置违规操作switchport port-security violation protect | restrict | shutdown Switch(config-if)#默许情况下，自动学习到的和手工配置的平安地址都不会老化static关键字表示老化时间也将会运用到手工配置的平安地址，默许不运用到手工配置的平安地址protect表示丢弃接纳到的帧MAC地址不在平安地址表中 restric表示丢弃接纳到的帧MAC地址不在平安地址表中，并发送一个SNMP Trap报文 shutdown表示丢弃接纳到的

33、帧MAC地址不在平安地址表中，发送一个SNMP Trap报文 ,并且封锁端口，进入 “err-disabled形状 配置端口平安续手工恢复端口形状errdisable recovery Switch(config)#配置形状自动恢复等待时间errdisable recovery interval time Switch(config)#当端口进入“err-disabled形状后，必需手工恢复到UP形状 端口平安配置例如查看端口平安形状查看端口平安形状show port-security Switch#查看端口平安形状例如ARP检查ARP检查防止ARP欺骗基于端口平安检查ARP报文中的IP地址能

34、否合法，假设不合法，那么丢弃报文配置ARP检查手工恢复端口形状port-security arp-check Switch(config)#启用端口平安switchport port-security Switch(config-if)#默许情况下，封锁ARP检查功能 配置平安IP地址switchport port-security mac-address mac-address ip-address ip-addressSwitch(config-if)#这里配置的ip-address为端口所接入设备的真实IP地址 ARP检查配置例如查看ARP检查形状查看ARP检查形状show port-s

35、ecurity arp-check Switch#查看ARP检查例如DHCP SnoopingDHCP Snooping的作用过滤伪非法DHCP效力器发送的DHCP报文DHCP Snooping的任务机制信任Trust端口允许一切DHCP报文经过非信任Untrust端口只允许DHCP Discovery、DHCP Request报文经过，过滤DHCP Offer报文建立DHCP监听数据库包含客户端的IP地址、MAC地址、衔接的端口、VLAN号、地址租用期限等信息 DHCP Snooping的部署信任Trust端口用于衔接合法的DHCP效力器和上行链路端口非信任Untrust端口用于衔接DHCP

36、客户端和其它接入端口配置DHCP Snooping启用DHCP Snoopingip dhcp snooping Switch(config)#配置端口为信任端口ip dhcp snooping trustSwitch(config-if)#默许情况下，封锁DHCP Snooping 默许情况下，一切端口都为Untrust端口 配置DHCP Snooping续手工配置DHCP Snooping表项ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interface Switch(config)#将

37、DHCP Snooping数据库写入到Flash文件ip dhcp snooping database write-to-flash Switch(config)#默许情况下，封锁DHCP Snooping DHCP监听数据库的信息是动态的，经过写入Flash，可以防止由于系统的重新启动导致数据库中的信息丧失 配置DHCP Snooping续配置自动写入DHCP Snooping绑定信息ip dhcp snooping database write-delay seconds Switch(config)#配置验证Untrust端口检查DHCP报文的源MAC地址ip dhcp snooping verify mac-address Switch(config)#默许情况下，不检查DHCP报文的源MAC地址可以防止攻击者发送伪造源MAC地址的DHCP报文，导致DHCP DoS攻击 DHCP Snooping配置例如查看DHCP Snooping形状查看DHCP Snooping